In questi giorni sta circolando parecchio l’intervento del Garante della Privacy sul Green Pass, avvenuto attraverso un Provvedimento di Avvertimento del 23 aprile 2021 con riferimento al D.L. n. 52 del 22 aprile 2021, che disciplina appunto l’entrata in vigore del Green Pass, o certificazione verde, con la quale lo Stato ha inteso disciplinare l’autorizzazione agli spostamenti e alla partecipazione a manifestazioni nelle zone arancioni e rosse. Avevo già parlato di privacy legata alla sanità in un articolo sulla schedatura sanitaria.
In questo articolo, invece, al netto dei soliti complottismi, è mia intenzione analizzare meglio il Provvedimento del Garante della Privacy sul Green Pass, spiegando quali sarebbero i profili di criticità che renderebbero questo provvedimento illegittimo.
Il Garante della Privacy ha individuato sostanzialmente 6 punti.
Mancata Consultazione del Garante
La prima criticità riguarda il fatto che il Governo avrebbe violato l’art. 36, par. 4, del Regolamento GDPR, che impone che l’adozione di provvedimenti che possono incidere sul diritto alla riservatezza del cittadino debbano essere adottati previa consultazione del Garante stesso. Secondo il Garante, a nulla varrebbe la condizione di emergenza che giustificherebbe il salto di questo passaggio procedurale, posto che
Il Garante, consapevole della necessità che le disposizioni sottoposte alla sua attenzione fossero adottate tempestivamente, ha sempre reso i pareri di propria competenza in tempi molto ristretti
Principio di minimizzazione dei dati
Il decreto n. 52 violerebbe anche il principio della minimizzazione dei dati (art. 5, par. 1, lett c), in base al quale, molto banalmente, i dati personali devono essere ridotti al minimo di quel che serve per raggiungere l’obiettivo della legge che ne richiede la comunicazione.
Secondo il Garante, infatti, la circostanza che il Governo abbia previsto tre diverse tipologie di Green Pass (per i vaccinati, per chi è guarito e per chi ha fatto il tampone), violi il principio, posto che
non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (…) atteso che il decreto non prevede forme diverse per il loro utilizzo.
Principio di esattezza dei dati
Il Garante sul Green Pass ha anche evidenziato che il decreto prevede, in attesa dell’entrata in vigore del Green Pass e della relativa istituzione della piattaforma nazionale DGC, che sia consentita l’utilizzazione delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto. Ciò violerebbe anche il principio di esattezza e di aggiornamento dei dati, in quanto
il predetto sistema transitorio non consente infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tenere conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato.
Principio di trasparenza
Sarebbe inoltre violato anche il principio di trasparenza dei dati, poiché il decreto in questione
non specifica la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle predette certificazioni e in particolare quelli posti in essere attraverso la Piattaforma DGC.
Tra l’altro, il decreto non sembra individuare neppure l’Ente presso il quale sarà istituita la relativa piattaforma.
Principio di limitazione della conservazione
Non ultimo, il GDPR afferma anche che i dati “devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono attuati” (Art. 5, par. 1, lett e), cosa che nel decreto non è specificata.
Inidoneità della base giuridica
Soprattutto, l’aspetto che ritengo più importante, anche ai fini di chiarire la reale portata del Provvedimento del Garante della Privacy sul Green Pass, è il seguente.
Il decreto, secondo il Garante, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi. Cosa significa?
Significa che il Garante ha rilevato che non sussiste nel decreto un’indicazione circa le specifiche finalità perseguite attraverso l’introduzione del Green Pass. Ma attenzione: questo non perché il Green Pass sia una scelta errata, illegittima, in violazione della legge o di qualche libertà specifica, ma per un motivo molto più banale: il garante non comprende le ragioni dell’introduzione del Green Pass in via provvisoria quando, in sede europea, è già al vaglio l’introduzione del certificato verde digitale (2021/0068 (COD) del 17/3/2021). Afferma infatti il Garante che:
La norma risulta priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento Europeo e del Consiglio sul certificato verde digitale.
Il Garante della Privacy sul Green Pass: conclusioni
Insomma: il Garante della Privacy sul Green Pass si è espresso non per sancirne l’assoluta inutilizzabilità in quanto strumento in violazione della Costituzione e delle sue libertà fondamentali; egli ha semplicemente posto delle questioni procedurali e di violazione di alcuni principi del Regolamento GDPR per come il decreto è stato adottato e formulato, ma in particolare ha espresso dubbi sull’opportunità di introdurre il Green Pass dal momento che, a breve, uscirà la certificazione digitale europea che assolverà al medesimo compito.
Il Provvedimento del Garante, dunque, non dichiara illegittima la scelta di limitare gli spostamenti attraverso un certificato del genere, ma anzi ammette in prima persona che, presto, sarà in vigore una cosa del tutto analoga che deriva dal Parlamento Europeo, senza esprimere alcuna criticità in merito.
Il Governo ha scritto male il decreto, ma limitare gli spostamenti attraverso un certificato è assolutamente fattibile, basta siano rispettate le norme del GDPR.
P.T.